Prepárate para el final de las cookies de terceros

Si tu sitio usa cookies de terceros, es momento de tomar medidas, ya que pronto se darán de baja. Para facilitar las pruebas, Chrome restringió las cookies de terceros para el 1% de los usuarios a partir del 4 de enero de 2024. Chrome planea aumentar las restricciones de cookies de terceros al 100% de los usuarios a partir del tercer trimestre de 2024, sujeto a las inquietudes restantes relacionadas con la competencia de la Competition and Markets Authority del Reino Unido.

Nuestro objetivo con Privacy Sandbox es reducir el seguimiento entre sitios y, al mismo tiempo, habilitar la funcionalidad que mantiene el contenido y los servicios en línea de forma gratuita para todos. La baja y la eliminación de las cookies de terceros encapsula el desafío, ya que habilitan funciones fundamentales para el acceso, la protección contra fraudes, la publicidad y, en general, la capacidad de incorporar contenido enriquecido de terceros en tus sitios. Además, son habilitadores clave del seguimiento entre sitios.

En nuestro importante hito anterior, lanzamos una variedad de APIs que ofrecen una alternativa centrada en la privacidad al statu quo actual para casos de uso como la detección de identidad, publicidad y fraude. Con alternativas implementadas, podemos comenzar a eliminar de forma gradual las cookies de terceros.

En esta serie de cuentas regresivas de cookies, te indicaremos el cronograma y las medidas inmediatas que puedes tomar para asegurarte de que tus sitios estén preparados.

Baja del 1% de las cookies de terceros y pruebas facilitadas por Chrome

En el cronograma de privacysandbox.com, puedes ver dos logros en el cuarto trimestre de 2023 y el primer trimestre de 2024, como parte de los modos de pruebas facilitadas por Chrome. Estas pruebas se realizan principalmente para organizaciones que prueban las APIs de relevancia y medición de Privacy Sandbox. Sin embargo, como parte de este proceso, inhabilitaremos las cookies de terceros para el 1% de los usuarios de la versión estable de Chrome.

Esto significa que, desde principios del 2024, es probable que haya una mayor parte de los usuarios de Chrome en tu sitio con las cookies de terceros inhabilitadas, incluso si no participas de forma activa en las pruebas facilitadas por Chrome. Este período de prueba continuará hasta el tercer trimestre de 2024, momento en el que, después de consultar a la CMA y sujeto a la resolución de cualquier inquietud relacionada con la competencia, planeamos comenzar a inhabilitar las cookies de terceros para todos los usuarios de Chrome.

Desglosamos el proceso en estos pasos clave, que se detallan a continuación con el fin de garantizar que esté preparado para que su sitio funcione sin cookies de terceros:

  1. Audita el uso de cookies de terceros.
  2. Prueba si hay fallas.
  3. En el caso de las cookies entre sitios que almacenan datos por sitio, como una incorporación, considera Partitioned con CHIPS.
  4. En el caso de las cookies entre sitios pertenecientes a un grupo pequeño de sitios vinculados de manera significativa, considera usar los Conjuntos de sitios web relacionados.
  5. Para otros casos de uso de cookies de terceros, migra a las APIs web relevantes.

1. Audita el uso de cookies de terceros

Las cookies de terceros se pueden identificar por su valor de SameSite=None. Debes buscar tu código para detectar instancias en las que establezcas el atributo SameSite en este valor. Si anteriormente realizaste cambios para agregar SameSite=None a tus cookies alrededor de 2020, es posible que esos cambios sean un buen punto de partida.

Herramientas para desarrolladores de Chrome

El panel Network de Chrome DevTools muestra las cookies configuradas y enviadas en las solicitudes. En el panel Aplicación, puede ver el encabezado Cookies bajo Almacenamiento. Puedes navegar por las cookies almacenadas para cada sitio al que se accede como parte de la carga de la página. Puedes ordenar por la columna SameSite para agrupar todas las cookies de None.

La pestaña Problemas de Herramientas para desarrolladores muestra una advertencia sobre las cookies de SameSite=None.

A partir de la versión 118 de Chrome, la pestaña Problemas de Herramientas para desarrolladores muestra el problema de cambio rotundo: "Las cookies enviadas en un contexto de varios sitios se bloquearán en versiones futuras de Chrome". El problema muestra las cookies potencialmente afectadas de la página actual.

Privacy Sandbox Analysis Tool (PSAT)

También compilamos Privacy Sandbox Analysis Tool (PSAT), una extensión de Herramientas para desarrolladores que facilita el análisis del uso de cookies durante las sesiones de navegación. Esto proporciona rutas de depuración para cookies y funciones de Privacy Sandbox, con puntos de acceso para obtener más información sobre la iniciativa de Privacy Sandbox.

La pestaña Problemas de Herramientas para desarrolladores muestra una advertencia sobre las cookies de SameSite=None.

La extensión complementa a Herramientas para desarrolladores con capacidades especializadas para analizar y depurar situaciones relacionadas con la baja de las cookies de terceros y la adopción de nuevas alternativas para preservar la privacidad.

Puedes descargar la extensión desde Chrome Web Store o acceder al repositorio y la wiki de PSAT.

Verifica el uso de cookies de terceros

Si identifica cookies establecidas por terceros, debe consultar con esos proveedores si tienen planes para la eliminación gradual de las cookies de terceros. Por ejemplo, es posible que debas actualizar una versión de la biblioteca que usas, cambiar una opción de configuración del servicio o no realizar ninguna acción si el tercero se encarga de los cambios necesarios por su cuenta.

2. Prueba de fallas

Puedes iniciar Chrome con la marca de línea de comandos --test-third-party-cookie-phaseout o, en Chrome 118, habilita chrome://flags/#test-third-party-cookie-phaseout. Esto permitirá que Chrome bloquee las cookies de terceros y garantizará que las nuevas funcionalidades y mitigaciones estén activas para simular mejor el estado después de la eliminación gradual.

También puedes intentar navegar con cookies de terceros bloqueadas a través de chrome://settings/cookies, pero ten en cuenta que la marca garantiza que también se habilite la funcionalidad nueva y actualizada. Bloquear las cookies de terceros es un buen enfoque para detectar problemas, pero no necesariamente validar que los hayas corregido.

Si mantienes un paquete de pruebas activo para tus sitios, deberías ejecutar dos ejecuciones en paralelo: una con Chrome en la configuración habitual y otra con la misma versión de Chrome iniciada con la función experimental --test-third-party-cookie-phaseout. Cualquier prueba fallida en la segunda ejecución y no en la primera son buenas candidatas para investigar las dependencias de cookies de terceros. Asegúrate de informar los problemas que encuentres.

Una vez que identifiques las cookies con problemas y comprendas sus casos de uso, puedes trabajar con las siguientes opciones para elegir la solución necesaria.

3. Usar cookies de Partitioned con CHIPS

Si se usa tu cookie de terceros en un contexto incorporado 1:1 con el sitio de nivel superior, considera usar el atributo Partitioned como parte de las cookies que tienen estado particionado independiente (CHIPS) para permitir el acceso entre sitios con una cookie independiente que se usa por sitio.

El atributo particionado permite establecer una cookie fav_store independiente por sitio de nivel superior.

Para implementar CHIPS, agrega el atributo Partitioned al encabezado Set-Cookie:

Si estableces Partitioned, el sitio podrá almacenar la cookie en un almacén de cookies separado, particionado por el sitio de nivel superior. En el ejemplo anterior, la cookie proviene de store-finder.site, que aloja un mapa de tiendas que permite a un usuario guardar su tienda favorita. Con CHIPS, cuando brand-a.site incorpora store-finder.site, el valor de la cookie fav_store es 123. Luego, cuando brand-b.site también incorpore store-finder.site, configurará y enviará su propia instancia particionada de la cookie fav_store, por ejemplo, con el valor 456.

Esto significa que los servicios incorporados pueden guardar el estado, pero no tienen almacenamiento compartido entre sitios que permita el seguimiento entre sitios.

Posibles casos de uso: Incorporaciones en chats de terceros, incorporaciones de mapas de terceros, incorporaciones de pago de terceros, balanceo de cargas de CDN de subrecursos, proveedores de CMS sin interfaz gráfica, dominios de zona de pruebas para entregar contenido de usuarios que no son de confianza, CDN de terceros que usan cookies para el control de acceso, llamadas a la API de terceros que requieren cookies en las solicitudes, anuncios incorporados con el estado específico por publicador.

Más información sobre CHIPS

4. Usa la API de Storage Access y los conjuntos de sitios web relacionados

Si la cookie de terceros solo se usa en una pequeña cantidad de sitios relacionados, puede considerar el uso de conjuntos de sitios web relacionados (RWS) para permitir el acceso entre sitios de esa cookie en el contexto de esos sitios definidos.

Para implementar RWS, deberás definir y enviar el grupo de sitios del conjunto. Para garantizar que los sitios estén relacionados de forma significativa, la política de un conjunto válido requiere agrupar esos sitios por sitios asociados con una relación visible entre sí (p.ej., variantes de la oferta de productos de una empresa), dominios de servicio (p.ej., APIs, CDN) o dominios de código de país (p.ej., *.uk, *.jp).

Los Conjuntos de Sitios Web Relacionados permiten el acceso de cookies en el contexto de los sitios declarados, pero no en otros sitios de terceros.

Los sitios pueden usar la API de Storage Access para solicitar acceso a cookies entre sitios con requestStorageAccess() o delegar el acceso con requestStorageAccessFor(). Cuando los sitios estén dentro del mismo conjunto, el navegador otorgará acceso automáticamente y estarán disponibles las cookies entre sitios.

Esto significa que los grupos de sitios relacionados aún pueden usar cookies entre sitios en un contexto limitado, pero no corres el riesgo de compartir cookies de terceros en sitios no relacionados de una manera que permita el seguimiento entre sitios.

Posibles casos de uso: Dominios específicos de la app, dominios específicos de la marca, dominios específicos de un país, dominios de zona de pruebas para entregar contenido de usuarios que no sean de confianza, dominios de servicio para APIs, CDN.

Más información sobre RWS

5. Migra a las APIs web relevantes

CHIPS y RWS permiten tipos específicos de acceso a cookies entre sitios y mantienen la privacidad del usuario. Sin embargo, los otros casos de uso de las cookies de terceros deben migrar a alternativas centradas en la privacidad.

Privacy Sandbox ofrece una variedad de APIs con propósitos específicos para casos de uso específicos sin la necesidad de cookies de terceros:

  • Federated Credential Management (FedCM) habilita los servicios de identidad federada, que permiten que los usuarios accedan a sitios y servicios.
  • Los tokens de estado privado habilitan la protección contra fraudes y spam a través del intercambio de información limitada que no permite la identificación en los sitios.
  • Topics habilita la publicidad basada en intereses y la personalización del contenido.
  • Protected Audience habilita el remarketing y los públicos personalizados.
  • Attribution Reporting permite la medición de impresiones de anuncios y conversiones.

Además, Chrome admite la API de Storage Access (SAA) para el uso en iframes con interacción del usuario. SAA ya es compatible con Edge, Firefox y Safari. Creemos que logra un buen equilibrio para mantener la privacidad del usuario y, al mismo tiempo, permitir la funcionalidad fundamental entre sitios con el beneficio de la compatibilidad entre navegadores.

Ten en cuenta que la API de Storage Access mostrará a los usuarios una solicitud de permiso del navegador. Para proporcionar una experiencia del usuario óptima, solo le preguntaremos al usuario si el sitio que llama a requestStorageAccess() interactuó con la página incorporada y visitó anteriormente el sitio de terceros en un contexto de nivel superior. Si el otorgamiento se realiza correctamente, se permitirá el acceso de cookies entre sitios para ese sitio durante 30 días. Los posibles casos de uso son incorporaciones autenticadas entre sitios, como widgets de comentarios en redes sociales, proveedores de pagos, servicios de video suscritos.

Si aún tienes casos de uso de cookies de terceros que no abarcan estas opciones, debes informarnos el problema y considerar si existen implementaciones alternativas que no dependan de una funcionalidad que pueda habilitar el seguimiento entre sitios.

Asistencia para empresas

Chrome administrado por una empresa siempre tiene requisitos únicos en comparación con el uso general de la Web, y nos aseguraremos de que los administradores empresariales tengan controles adecuados sobre la baja de las cookies de terceros en sus navegadores.

Al igual que con la mayoría de los experimentos de Chrome, la mayoría de los usuarios finales empresariales se excluirán automáticamente de la baja del 1% de las cookies de terceros. Para algunos de los grupos que podrían verse afectados, los administradores empresariales pueden establecer la política BlockThirdPartyCookies en false para inhabilitar sus navegadores administrados antes del experimento y tener tiempo para hacer los cambios necesarios y no depender de esta política ni de las cookies de terceros. Puedes obtener más información en las notas de la versión de Chrome Enterprise.

También pretendemos proporcionar más informes y herramientas para ayudar a identificar el uso de cookies de terceros en sitios empresariales. Tenemos menos visibilidad de los navegadores empresariales en las métricas de uso de Chrome, lo que significa que es muy importante para las empresas realizar pruebas para detectar fallas y informarnos problemas.

Las integraciones empresariales de SaaS podrán usar la prueba de baja de terceros que se describe a continuación.

Solicita tiempo adicional con la prueba de baja de terceros para casos de uso no publicitarios

Al igual que con muchas bajas anteriores en la Web, entendemos que hay casos en los que los sitios necesitan tiempo adicional para realizar los cambios necesarios. Cuando se trata de cambios relacionados con la privacidad como este, también tenemos que equilibrarlos con los mejores intereses de las personas que usan la Web.

Planeamos ofrecer una prueba de baja para que los sitios o servicios que se usan en un contexto de varios sitios se registren y puedan acceder de forma continua a cookies de terceros durante un período limitado.

Compartiremos más detalles a medida que avancen los planes, pero comenzaremos con algunos principios clave:

  • Será una prueba de baja de terceros, en la que las incorporaciones de terceros podrán habilitar la opción para seguir usando cookies de terceros de forma temporal.
  • El registro requerirá un proceso de revisión para garantizar que la prueba de baja se use únicamente para funciones que afectan en gran medida los recorridos críticos del usuario. Los registros se analizarán caso por caso.
  • No interferirá en las pruebas publicitarias planificadas para principios de 2024, como se describe en la CMA. Por lo tanto, esto significa que no se tendrán en cuenta los casos de uso de publicidad para la prueba de baja.

Próximo paso: Este mes publicaremos un Intent en la lista de distribución de blink-dev con más detalles y seguiremos actualizando la documentación aquí.

Preservamos las experiencias del usuario críticas

Las cookies entre sitios han sido una parte fundamental de la Web durante más de un cuarto de siglo. Esto hace que cualquier cambio, en especial un cambio rotundo, sea un proceso complejo que requiere un enfoque coordinado e incremental. Si bien los atributos adicionales de cookies y las nuevas APIs centradas en la privacidad representan la mayoría de los casos de uso, hay situaciones específicas en las que queremos asegurarnos de no causar un daño en la experiencia de las personas que usan esos sitios.

Principalmente, son flujos de autenticación o de pago en los que un sitio de nivel superior abre una ventana emergente o redirecciona a un sitio de terceros para realizar una operación y, luego, regresa al sitio de nivel superior mediante el uso de una cookie en ese proceso de retorno o en el contexto incorporado. Nuestra intención es proporcionar un conjunto temporal de heurísticas para identificar estas situaciones y permitir las cookies de terceros durante un período limitado, de modo que los sitios tengan un período más prolongado para implementar los cambios necesarios.

Próximo paso: Este mes, publicaremos un intent en la lista de distribución de blink-dev con más detalles y seguiremos actualizando la documentación aquí.

Cómo informar problemas con las cookies de terceros y obtener ayuda

Queremos asegurarnos de captar las diversas situaciones en las que los sitios fallan sin cookies de terceros para asegurarnos de haber proporcionado orientación, herramientas y funcionalidad que les permitan a los sitios migrar de sus dependencias de cookies de terceros. Si tu sitio o un servicio del que dependes falla con las cookies de terceros inhabilitadas, puedes enviarlo a nuestra herramienta de seguimiento de fallas en goo.gle/report-3pc-broken.

Si tienes preguntas sobre el proceso de baja y el plan de Chrome, puedes informar un problema nuevo mediante la "baja de las cookies de terceros". en nuestro repositorio de asistencia para desarrolladores.